by cryptoblog By Rekt.news
Serangan bisa datang dari semua sudut.
Ini mungkin pertama kalinya mereka berada di papan peringkat kami, tetapi protokol ini memiliki prioritas.
Entri debut untuk bzx.network langsung masuk ke 10 besar.
Pengembang bZx dikirimi email phishing ke komputer pribadinya dengan makro berbahaya dalam dokumen Word yang disamarkan sebagai lampiran email yang sah, yang kemudian menjalankan skrip di Komputer Pribadinya. Hal ini menyebabkan frase dompet mnemonic pribadinya dikompromikan.
Sebelum peristiwa kemarin, insiden terakhir yang menimpa proyek adalah pada September 2020, ketika $8 juta diambil (dan kemudian dikembalikan).
Sebelumnya, pada Februari 2020, bZx menjadi korban dua serangan, di mana $298.000 dan $645.000 hilang dari eksploitasi berbasis pinjaman flash pertama.
Sepertinya 4 kali pesona untuk bZx.
Mengingat masa lalu mereka yang kacau, ketika pengumuman datang kemarin bahwa “kunci pribadi yang mengendalikan penyebaran Polygon dan BSC dikompromikan”, balasannya lebih berupa kekesalan daripada keterkejutan …
“Seperti apa ini yang keempat kalinya?”
“Mungkin sudah waktunya bagi kalian untuk menyerah pada semua hal kripto ini. Kalian semua ngmi.”
~10 jam setelah pengumuman awal, bZx menerbitkan pembaruan yang menyatakan bahwa salah satu pengembang mereka telah menjadi korban serangan phishing, menekankan bahwa kode itu sendiri tidak dikompromikan…
Yang sedikit menghibur bagi pengguna yang kehilangan uang mereka.
Slowmist telah menyimpan total dana yang hilang, yang pada saat penulisan ini mencapai ~$55 juta.
Sulit untuk menyalahkan tim ketika serangannya begitu licik. Bisakah bZx pulih, atau ini kematian keempat dan terakhir mereka?
bZx telah mengeluarkan post mortem awal, merinci peristiwa dan berisi daftar alamat yang digunakan oleh peretas di Polygon, BSC (1, 2, 3) dan beberapa alamat Ethereum (dompet utama).
Sebagai ganti eksploitasi yang lebih canggih secara teknis yang dihadapi protokol di masa lalu, kali ini akar masalahnya adalah serangan phishing sederhana.
Beberapa saat sebelum eksploitasi, pengembang bZx dikirimi email phishing dengan dokumen Word terlampir yang berisi makro berbahaya. Membuka dokumen ini mengakibatkan dev memiliki kunci dompet pribadi mereka dikompromikan.
Tapi ini bukan serangan pribadi. EOA ini memiliki kendali atas penyebaran Polygon dan BSC bZx.
Oleh karena itu, peretas dapat memperoleh kendali atas kontrak dan mengurasnya dari BZRX. Kode kemudian diperbarui untuk memungkinkan ekstraksi token dari dompet mana pun yang telah memberikan persetujuan token untuk kontrak yang terpengaruh.
Periksa persetujuan token Anda di sini: Polygon, BSC
Daftar kontrak bZx
Terlepas dari upaya bZx untuk meyakinkan komunitas bahwa kerusakan hanya terjadi pada Polygon dan BSC, peretas kemudian mengirim BZRX curian ke Ethereum untuk digunakan sebagai jaminan dan meminjam berbagai aset lainnya.
Meskipun penyerang mendapatkan lebih sedikit keuntungan dengan cara ini, mereka juga menemukan cara mengatasi masalah likuiditas dengan mencoba membuang BZRX dalam jumlah besar.
bZx menyatakan bahwa mereka telah menjangkau layanan terpusat, meminta agar Circle membekukan USDC yang dicuri, sementara dana di Binance serta USDT dengan cepat dibekukan.
Mereka juga telah menghubungi peretas yang menawarkan untuk “mengobrol dan mencapai kesepakatan”
Fakta bahwa kerugian dana yang begitu besar dapat dikaitkan dengan vektor serangan sederhana seperti itu sulit dipercaya, terutama untuk protokol yang telah mengalami lebih dari sekadar masalah keamanan di masa lalu.
Siapa pun di crypto harus diharapkan untuk waspada, dan para pengembang yang bekerja pada proyek TVL tinggi khususnya. Tapi kesalahan manusia dalam kasus ini seharusnya tidak pernah bisa menyebabkan kerugian yang begitu besar.
Tapi apakah semua kesalahan terletak pada protokol?
Kehilangan kendali atas kontrak karena rentan terhadap satu pelanggaran keamanan EOA tidak terbayangkan untuk setiap proyek yang bertanggung jawab, dan tidak ada ruang untuk “ketidakmampuan atau kelalaian” ketika $55 juta dipertaruhkan.
Karena itu, dibutuhkan peretas yang sangat tidak berperasaan dan serakah untuk terus menguras dompet pengguna individu setelah mengekstrak jutaan.
Sekian pembaca rekt.
Sampai jumpa lagi, bZx…
